Web používá soubory cookie k poskytování služeb v souladu se Zásadami souborů cookie. Můžete definovat podmínky pro ukládání nebo přístup k mechanismu cookies ve vašem prohlížeči.
Zavřít výběr země
-
O nás
-
Producenti
-
IT řešení
-
Automatizace a řízení
- Automatizace služeb
- BAS | Breach and Attack Simulation
- CEM | Critical Event Management
- CTEM | Continuous Threat Exposure Management
- RMM | Remote Monitoring and Management & helpdesk
- SIEM | Security Information and Event Management
- SOAR | Security Orchestration, Automation and Response
- UEM/MDM | Unified Endpoint & Mobile Device Management
- Správa zranitelnosti
-
Zabezpečení Sítě a Služeb
-
E-mail a Komunikace
-
Monitorování Sítí a Aplikací
-
Ochrana Dat
-
Ochrana Zařízení
-
Automatizace a řízení
-
Pro partnera
- Události
- Zprávy
- Kontakt
19.12.2024S blížícím se novým rokem přinášíme predikce expertů Fortra ohledně nejdůležitějších bezpečnostních trendů roku 2025.
Nový rok je za dveřmi a my chceme být dobře připraveni. Minulý měsíc se skupina odborníků z Fortra setkala, aby prodiskutovala trendy a síly, které budou ovlivňovat rok 2025. Na povrch přitom vypluly čtyři klíčová témata:
- Zaměření na zranitelnosti v informačních dodavatelských řetězcích
- Zvýšená kontrola bezpečnosti u poskytovatelů služeb
- Vývoj vlivu AI na současnou i budoucí hrozbu
- Využívání dostupných dat z úniků k vydírání a extorzi
Každý rok přináší bezpečnostní výzvy, ale technologický vývoj a aktivity kyberzločinců tento rok činí obzvlášť pozoruhodným při plánování příštích dvanácti měsíců. Globální dodavatelské řetězce se neustále rozrůstají, což ztěžuje sledování i drobných bezpečnostních detailů. Poskytovatelé služeb čelí tvrdé konkurenci a silná bezpečnost se stává významnou konkurenční výhodou. Útočníci navíc konečně vědí, jak účinně využít osobní data, která kolují, a AI vše jen komplikuje.
Lze říci, že všechny obory čeká rušný rok 2025, pokud se nepřipraví na blížící se trendy a neplánují obranné strategie už nyní.
Predikce #1: Zaměření na zranitelnosti v informačních dodavatelských řetězcích
Dodavatelské řetězce fungují jako univerzální železnice, po kterých se po celém světě přepravuje zboží, služby, technologie a kód. Stejně jako v klasických westernových filmech však někdy „padouši“ naskakují na vlak a cestou kradou zboží — nebo ho otráví. Současní útočníci zaměření na dodavatelské řetězce nejsou jiní. Nově však stále častěji vidíme, že útočníci napadají software a malé společnosti, aby se dostali k „velké kořisti“ výše v řetězci.
Pokud jde o software, John Wilson, Senior Fellow z Fortra Threat Research, uvádí:
„Když se podívám do budoucnosti, vidím scénáře, kde budou úmyslně napadány drobné softwarové části, které používají tisíce společností, a bude do nich vkládán škodlivý kód. Tímto způsobem mohou kyberzločinci získat ekvivalent zadních vrátek v tisících různých produktů jen díky aktualizaci jedné malé knihovny Python, kterou tyto společnosti využívají.“
Wilson zdůrazňuje, že nejen drobné části kódu, ale také malé firmy budou čelit zvýšenému riziku těchto útoků.
Toto téma vede k otázce, kterou pokládají zákazníci: požadavek na dokumentaci softwarových materiálů (SBOM). Jak uvádí Bob Erdman, Associate VP z Fortra’s Research and Development, tyto otázky se objevují dříve než bylo obvyklé. Theo Zafirakos, expert na kybernetická rizika a informační bezpečnost z Fortry, dodává:
„Organizace nyní začínají klást otázky týkající se dodavatelského řetězce již na začátku procesu, a ne až poté, co začnou spolupracovat s dodavatelem. Chtějí pochopit, co se děje, zejména pokud jde o open-source kód a software, a zajistit, že jsou odolné a poskytovatel služby zmírňuje potenciální útoky. Ptají se na otázky jako: Jaký bude dopad na podnikání, pokud bude váš systém kompromitován nebo dojde ke kompromitaci dat?“ S rostoucím počtem útoků na dodavatelské řetězce v médiích pravděpodobně bude tento trend více informovaných (a znepokojených) zákazníků pokračovat — zejména tam, kde jsou sdílená rizika součástí partnerství.
Predikce #2: Zvýšená kontrola bezpečnosti u poskytovatelů služeb
Tento trend byl zmíněn v předchozí části s ohledem na zákazníky, kteří kladou intenzivní důraz na bezpečnost dodavatelského řetězce svých budoucích partnerů, ale to je jen začátek.
Trh je přesycen poskytovateli služeb, což z něj činí trh kupujícího pro digitální zákazníky všech velikostí. Dny jednorázového hodnocení bezpečnosti dodavatelů budou brzy minulostí, protože společnosti začnou hledat průběžné hodnocení.
John Wilson vysvětluje problém u standardních hodnocení bezpečnosti dodavatelů, která často bývají formální. Říká:
„Toto nemůže být pouze položka na seznamu, kterou uděláte jednou za rok. Mohou být naprosto bezproblémoví, když vyplňují formulář, ale o tři týdny později dojde k drobné aktualizaci a najednou něco, co uvedli v SIG [Standard Information Gathering], již neplatí.“
Wilson navrhuje přejít na průběžné hodnocení při pokládání otázek jako:
- Provádí vaše společnost trénink simulace phishingu?
- Pokud budete naším dodavatelem, požadujeme, abyste to dělali.
- Používáte DAC (Discretionary Access Control)?
- Používáte SPF? DKIM? Podobné záležitosti?
Mějte na paměti, že i když je odpověď dnes „ano“, může se to rychle změnit. Jednorázové dotazníky už nestačí; je potřeba přejít na kontinuální formy monitorování bezpečnosti.
A jakmile zákazníci začnou podrobně zkoumat kyberbezpečnostní postupy třetích stran, se kterými spolupracují, může se začít klást větší důraz na „praktickou bezpečnost“ než na pouhé splnění papírových požadavků. Chris Reffkin, Chief Security and Risk Officer společnosti Fortra, vysvětluje: „Jak jsem se naučil na bezpečnostní konferenci, kde jsem před lety přednášel, lidé zaměření na compliance neradi slyší, že compliance neznamená bezpečnost. Výzvou je tedy přimět právníky pochopit: tady je riziko a tady je to, co skutečně potřebujeme.“ Dále vysvětluje: „Je mi jedno, jestli mají certifikaci, ale pokud dokážou splnit těchto 10 klíčových požadavků, je to mnohem jednodušší vyjednávat než nějaké vágní splnění oborových standardů, u kterých si ani nejste jistí, že jsou reálně použitelné.“
S rostoucím dohledem nad poskytovateli služeb by pro ně bylo přínosné prokázat, že zaujímají kontinuální přístup ke kyberbezpečnosti, a ukázat to, co dnes všichni v kyberbezpečnosti hledají — schopnost úspěšně odvést práci, bez ohledu na certifikace.
Předpověď #3: Měnící se dopad umělé inteligence na současnou a budoucí hrozbovou scénu
Pokrok v oblasti umělé inteligence (a konkrétně generativní AI) mění každého zločince v "dokonale hladkého zločince" — alespoň pokud jde o phishing. Jedním z dřívějších znaků phishingových útoků byly gramaticky nesprávné fráze, které jasně naznačovaly, že útočník pravděpodobně pochází z jiné země (a není to "Linda z Microsoftu"). Generativní AI však tuto bariéru nejen odstranila, ale také rozšířila možnosti útočníků, takže nyní znějí dokonale v téměř každém jazyce.
K tomuto tématu poznamenává John Wilson: „Samozřejmě stále existují podvodníci, kteří používají neohrabané fráze, ale za poslední rok jsme zaznamenali méně takových případů a mnohem více takových, které působí přirozeněji.“ Dodává, že ještě větší změnou je to, že „nejde jen o angličtinu. Vidíme to ve velké škále jazyků, a není to jen o tom, že text jednoduše zkopírujete a vložíte do Google Translate.“
Pokud je AI, která činí psaný text přesvědčivějším, problém, pak je AI, která činí hlas a video ještě přesvědčivější, ještě horší. Díky těmto úpravám reality říká Theo Zafirakos: „Lidé jsou náchylnější reagovat na zvuk nebo video ve srovnání s textovou zprávou nebo e-mailem, protože lidská reakce bývá z 95 % intuitivní a jen z 5 % analytická. Tyto deepfaky nás přimějí jednat mnohem rychleji, než jsme zvyklí.“
To představuje problém, protože nástroje pro deepfaky se stále více využívají k šíření dezinformací, narušování demokratických procesů a podvodům. Zafirakos dodává: „To také může vyvolat obecný skepticismus vůči legitimnímu obsahu, i když je skutečný.“ Jak se tedy můžeme chránit?
Odpověď spočívá v udržování pozornosti a aplikaci stejných pravidel doma i mimo kancelář jako na pracovišti. Je snadné polevit, ale s tím, jak stále více zařízení přistupuje přímo k firemní síti a více mobilních aplikací slouží jako přístupové body do podnikových prostředí, je klíčem být obezřetný všude. Jak upozorňuje Reffkin: „Jsem si jistý, že během sekundy odejde 10 000 spamových zpráv a stojí to jen pár centů. To je vše, co je potřeba, že? A pokud je to něco uvěřitelného pro širokou veřejnost, například e-mail od 'Netflixu', lidé začnou zapomínat na to, co se naučili v práci, a klikají na věci doma.“
S tím, jak AI činí phishing stále běžnějším, bude výzvou v nadcházejícím roce nenechat se tak otupit těmito triky, že je přestaneme vůbec vnímat.
Predikce #4: Využívání široce dostupných dat z úniků pro vyděračské útoky
Když už mluvíme o působení na lidskou psychiku, útočníci přidávají na intenzitě a začínají používat zastrašovací taktiky. Pryč je doba, kdy nás lákali na „med“ – tito kyberzločinci teď používají „ocet“. Kromě dokonalé angličtiny (a schopnosti vytvářet přesvědčivá média v jakémkoli jazyce) nyní útočníci využívají naše osobní informace proti nám způsoby, které připomínají vydírání.
John Wilson sdílí své zkušenosti z terénu a vysvětluje: „Velká změna, kterou jsme zaznamenali v září, spočívá v tom, že útočníci začali používat formulace jako: ‚Byla by škoda, kdybych se objevil na vaší adrese XYZ Main Street, v tom a tom městě,‘ a přiložili k tomu obrázek domu oběti z Google Street View.“ Kde získávají tyto informace? Wilson pokračuje: „Tohle je zjevně kombinace všech těch dat z úniků, ale udělaná mnohem personalizovaněji. Myslím, že míra odezvy je u takových útoků mnohem vyšší, protože oběť má pocit: ‚Oni mě skutečně znají.‘ A myslím, že to půjde ještě dál a situace se bude jen zhoršovat.“
Jakmile oběť nalákají ke spolupráci, útočník požádá například o organizační schéma firmy, ve které pracuje, nebo o citlivé informace, ke kterým má zaměstnanec přístup. Když jsou sofistikovaná bezpečnostní řešení na úrovni podniků příliš složitá na prolomení, útočníci cílí na jednotlivce a snaží se proniknout touto cestou.
Další způsob, jak mohou proniknout, nevyužívá stará data z úniků, ale nová; jde o data získaná hacknutím chytrých zařízení a připojených IoT zařízení. Zamyslete se: „Vaše lednice ví, co jíte, vaše trouba ví, kdy je čas na večeři, a vaše televize ví, kdy ji sledujete a kdy ne. Co se stane, když někdo získá přístup k těmto datům?“ ptá se Wilson.
Útočníci pak mohou analyzovat naše vzorce chování a zaměřit se na naše domy, když nejsme doma. Wilson říká: „Může to být hodně rychle hodně šílené.“
Závěr
Množství informací, které máme na konci tohoto roku k dispozici, je ohromující a může být využito k mnoha účelům. Totéž platí pro vyvíjející se technologie a taktiky. Protože můžeme očekávat, že kyberzločinci je nebudou využívat k dobrým účelům, my jako uživatelé, zaměstnanci i organizace musíme zajistit, abychom se neustále vzdělávali o tom, jaké nové způsoby útoku mohou přijít.
Pro více informací nás neváhejte kontaktovat:
Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498
Kontakt
Bakotech Security s.r.o.
Údaje Společnosti
IČO: 17592062
IČO: 24804983
Kontakt
Navštivte také
Připojte se k newsletteru
Chcete mít přehled o nejnovějších zprávách z oblasti IT a dostávat informace o akcích, jako jsou webové semináře, školení a konference? Zanechte svůj e-mail:
© Bakotech - 2022. Všechna práva vyhrazena.
